Web防火墻的局部代理方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于web代理技術(shù)領(lǐng)域�,具體涉及一種WEB防火墻的局部代理方法��。
【背景技術(shù)】
[0002]隨著Web應(yīng)用的豐富����,各類攻擊工具不斷的普遍和強(qiáng)大,互聯(lián)網(wǎng)上的安全隱患越來越多�����。隨著客戶核心業(yè)務(wù)系統(tǒng)對(duì)網(wǎng)絡(luò)依賴程度的增加��,Web應(yīng)用攻擊事件數(shù)量將會(huì)持續(xù)增長��,損失嚴(yán)重程度也會(huì)劇增����。因此,政府�、企業(yè)等各類組織都必須有所對(duì)策以保護(hù)其投資、利潤和服務(wù)�����。
[0003]在一般情況下�����,使用網(wǎng)絡(luò)瀏覽器直接去連接其他Internet站點(diǎn)取得網(wǎng)絡(luò)信息時(shí)���,是直接聯(lián)系到目的站點(diǎn)服務(wù)器�,然后由目的站點(diǎn)服務(wù)器把信息傳送回來����。代理服務(wù)器是介于客戶端和Web服務(wù)器之間的另一臺(tái)服務(wù)器,有了它之后��,瀏覽器不是直接到Web服務(wù)器去取回網(wǎng)頁而是向代理服務(wù)器發(fā)出請(qǐng)求�����,信號(hào)會(huì)先送到代理服務(wù)器����,由代理服務(wù)器來取回瀏覽器所需要的信息并傳送給你的瀏覽器�����。
[0004]而在web應(yīng)用防火墻中���,web代理引擎是web防護(hù)的核心,當(dāng)并發(fā)訪問量較大時(shí)����,可能會(huì)導(dǎo)致web應(yīng)用防火墻內(nèi)存急劇上升,同時(shí)使代理引擎的負(fù)載非常重�,進(jìn)而導(dǎo)致代理性能急劇下降,嚴(yán)重影響網(wǎng)站的正常訪問�,因此對(duì)于大并發(fā)訪問的支持,是目前web防火墻中的關(guān)鍵�。
【發(fā)明內(nèi)容】
[0005]有鑒于此,本發(fā)明的主要目的在于提供一種WEB防火墻的局部代理方法����。
[0006]為達(dá)到上述目的����,本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的:
本發(fā)明實(shí)施例提供一種WEB防火墻的局部代理方法�,該方法為:客戶端與WEB防火墻的代理引擎建立第一次連接�,所述WEB防火墻的代理引擎與服務(wù)器端建立第二次連接,所述WEB防火墻的代理引擎將兩次連接的四元組信息發(fā)送到WEB防火墻的協(xié)議棧���;所述WEB防火墻的協(xié)議棧對(duì)接收到第一連接的請(qǐng)求數(shù)據(jù)包進(jìn)行記錄�、代理引擎進(jìn)行規(guī)則檢測(cè)�����,當(dāng)所述請(qǐng)求數(shù)據(jù)包為非攻擊包��,則web引擎與服務(wù)器端建立連接�,進(jìn)行數(shù)據(jù)包發(fā)送;所述WEB防火墻的協(xié)議棧確定服務(wù)器端回傳的數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù)包后��,對(duì)所述回應(yīng)數(shù)據(jù)包進(jìn)行修改校驗(yàn)后直接發(fā)送到客戶端���。
[0007]上述方案中���,所述所述四元組信息包括源端IP地址、源端口號(hào)�����、目的IP地址、目的端口號(hào)����。
[0008]上述方案中,當(dāng)所述代理引擎對(duì)收到的請(qǐng)求數(shù)據(jù)包進(jìn)行規(guī)則檢測(cè)�,若所述請(qǐng)求數(shù)據(jù)包為攻擊包,則直接發(fā)送回應(yīng)數(shù)據(jù)包至客戶端�,并與客戶端斷開連接。
[0009]上述方案中��,當(dāng)所述請(qǐng)求數(shù)據(jù)包中的目的IP地址�����、目的端口與受保護(hù)站點(diǎn)不一致時(shí)�����,即該站點(diǎn)不受web防火墻的保護(hù)���,則不將其上傳至代理引擎�����,由協(xié)議棧直接進(jìn)行轉(zhuǎn)發(fā)���。
[0010]上述方案中,所述所述WEB防火墻的協(xié)議棧確定服務(wù)器端回傳的數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù)包后����,對(duì)所述回應(yīng)數(shù)據(jù)包進(jìn)行修改校驗(yàn)后直接發(fā)送到客戶端,具體為:當(dāng)數(shù)據(jù)包的源IP地址���、源端口與受保護(hù)站點(diǎn)一致時(shí)����,即數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù)�����,此時(shí)查找第一次連接信息結(jié)構(gòu)體中的源MAC����、源IP、源端口�、入口網(wǎng)口信息,對(duì)此數(shù)據(jù)包的目的MAC����、目的IP���、目的端口、出口網(wǎng)口信息及TCP序列號(hào)進(jìn)行修改�����,并進(jìn)行IP頭部����、TCP頭部進(jìn)行校驗(yàn)計(jì)算,最終直接發(fā)送至客戶端����。
[0011]與現(xiàn)有技術(shù)相比,本發(fā)明的有益效果:
本發(fā)明能夠有效提高大并發(fā)訪問下代理引擎的性能�����,有效降低代理引擎的負(fù)載����,在web防火墻的應(yīng)用中,在提高web防火墻的吞吐性能的同時(shí)不影響web防火墻現(xiàn)有的防護(hù)功能�。
【附圖說明】
[0012]圖1為本發(fā)明實(shí)施例提供一種WEB防火墻的局部代理方法的流程圖。
【具體實(shí)施方式】
[0013]下面結(jié)合附圖和【具體實(shí)施方式】對(duì)本發(fā)明進(jìn)行詳細(xì)說明。
[0014]本發(fā)明實(shí)施例提供一種WEB防火墻的局部代理方法�,如圖1所示,該方法通過以下步驟實(shí)現(xiàn):
步驟101:客戶端與WEB防火墻的代理引擎建立第一次連接��,所述WEB防火墻的代理引擎與服務(wù)器端建立第二次連接��,所述WEB防火墻的代理引擎將兩次連接的四元組信息發(fā)送到WEB防火墻的協(xié)議棧�。
[0015]具體的�,所述代理引擎與客戶端和服務(wù)器端之間需要建立兩次tcp連接,當(dāng)兩次連接建立成功后將能夠兩次連接對(duì)應(yīng)的四元組信息通知給協(xié)議棧���,以便協(xié)議棧能夠認(rèn)知到兩次連接的對(duì)應(yīng)關(guān)系����。
[0016]一條TCP連接是由發(fā)送方套接字和接收方套接字來唯一標(biāo)識(shí)的�����,即TCP連接用四元組信息來唯一標(biāo)識(shí)�,所述四元組信息包括源端IP地址、源端口號(hào)�����、目的IP地址、目的端口號(hào)����。
[0017]步驟102:所述WEB防火墻的協(xié)議棧對(duì)接收到第一連接的請(qǐng)求數(shù)據(jù)包進(jìn)行記錄、代理引擎進(jìn)行規(guī)則檢測(cè)��。
[0018]具體的����,在協(xié)議棧收包入口處,根據(jù)兩次連接的對(duì)應(yīng)關(guān)系����,判斷數(shù)據(jù)包是由第一次連接請(qǐng)求的數(shù)據(jù),當(dāng)請(qǐng)求數(shù)據(jù)包中的目的IP地址和目的端口和受保護(hù)站點(diǎn)一致時(shí)���,即請(qǐng)求數(shù)據(jù)包為第一次連接的請(qǐng)求數(shù)據(jù)���,這時(shí),記錄其TCP序列號(hào)����、TCP確認(rèn)序列號(hào)和TCP窗口大小等,將數(shù)據(jù)包的TCP序列號(hào)���、TCP確認(rèn)序列號(hào)�����、TCP窗口大小�����、源MAC�����、源IP����、源端口�����、入口網(wǎng)口信息存入第一次連接的信息結(jié)構(gòu)體中�,進(jìn)而將數(shù)據(jù)包傳至代理引擎處理。
[0019]當(dāng)代理引擎收到數(shù)據(jù)包后會(huì)對(duì)數(shù)據(jù)包進(jìn)行規(guī)則檢測(cè)���,若此數(shù)據(jù)包為非攻擊包���,則web引擎與服務(wù)器端建立連接���,進(jìn)行數(shù)據(jù)包發(fā)送,否則直接發(fā)送回應(yīng)數(shù)據(jù)包至客戶端����,并與客戶端斷開連接。
[0020]當(dāng)請(qǐng)求數(shù)據(jù)包中的目的IP地址��、目的端口與受保護(hù)站點(diǎn)不一致時(shí)�,即該站點(diǎn)不受web防火墻的保護(hù),則不將其上傳至web防火墻引擎��,由協(xié)議棧直接進(jìn)行轉(zhuǎn)發(fā)�。
[0021]步驟103:所述WEB防火墻的協(xié)議棧確定服務(wù)器端回傳的數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù)包后,對(duì)所述回應(yīng)數(shù)據(jù)包進(jìn)行修改校驗(yàn)后直接發(fā)送到客戶端�����。
[0022]具體的�����,當(dāng)數(shù)據(jù)包的源IP地址�、源端口與受保護(hù)站點(diǎn)一致時(shí)��,即數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù)�,此時(shí)查找第一次連接信息結(jié)構(gòu)體中的源MAC��、源IP�、源端口、入口網(wǎng)口信息����,對(duì)此數(shù)據(jù)包的目的MAC、目的IP�����、目的端口����、出口網(wǎng)口信息及TCP序列號(hào)等進(jìn)行修改�����,并進(jìn)行IP頭部�、TCP頭部進(jìn)行校驗(yàn)計(jì)算,最終直接發(fā)送至客戶端���。
[0023]以上所述����,僅為本發(fā)明的較佳實(shí)施例而已,并非用于限定本發(fā)明的保護(hù)范圍���。
【主權(quán)項(xiàng)】
1.一種WEB防火墻的局部代理方法�����,其特征在于���,該方法為:客戶端與WEB防火墻的代理引擎建立第一次連接,所述WEB防火墻的代理引擎與服務(wù)器端建立第二次連接����,所述WEB防火墻的代理引擎將兩次連接的四元組信息發(fā)送到WEB防火墻的協(xié)議棧;所述WEB防火墻的協(xié)議棧對(duì)接收到第一連接的請(qǐng)求數(shù)據(jù)包進(jìn)行記錄�、代理引擎進(jìn)行規(guī)則檢測(cè),當(dāng)所述請(qǐng)求數(shù)據(jù)包為非攻擊包����,則web引擎與服務(wù)器端建立連接,進(jìn)行數(shù)據(jù)包發(fā)送��;所述WEB防火墻的協(xié)議棧確定服務(wù)器端回傳的數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù)包后,對(duì)所述回應(yīng)數(shù)據(jù)包進(jìn)行修改校驗(yàn)后直接發(fā)送到客戶端��。2.根據(jù)權(quán)利要求1所述的WEB防火墻的局部代理方法��,其特征在于:所述所述四元組信息包括源端IP地址����、源端口號(hào)、目的IP地址���、目的端口號(hào)����。3.根據(jù)權(quán)利要求1或2所述的WEB防火墻的局部代理方法�,其特征在于: 當(dāng)所述代理引擎對(duì)收到的請(qǐng)求數(shù)據(jù)包進(jìn)行規(guī)則檢測(cè)�,若所述請(qǐng)求數(shù)據(jù)包為攻擊包,則直接發(fā)送回應(yīng)數(shù)據(jù)包至客戶端�����,并與客戶端斷開連接�����。4.根據(jù)權(quán)利要求3所述的WEB防火墻的局部代理方法,其特征在于:當(dāng)所述請(qǐng)求數(shù)據(jù)包中的目的IP地址���、目的端口與受保護(hù)站點(diǎn)不一致時(shí)�,即該站點(diǎn)不受web防火墻的保護(hù)�,則不將其上傳至代理引擎,由協(xié)議棧直接進(jìn)行轉(zhuǎn)發(fā)����。5.根據(jù)權(quán)利要求4所述的WEB防火墻的局部代理方法,其特征在于�,所述所述WEB防火墻的協(xié)議棧確定服務(wù)器端回傳的數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù)包后,對(duì)所述回應(yīng)數(shù)據(jù)包進(jìn)行修改校驗(yàn)后直接發(fā)送到客戶端����,具體為:當(dāng)數(shù)據(jù)包的源IP地址、源端口與受保護(hù)站點(diǎn)一致時(shí)����,即數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù),此時(shí)查找第一次連接信息結(jié)構(gòu)體中的源MAC���、源IP���、源端口�、入口網(wǎng)口信息��,對(duì)此數(shù)據(jù)包的目的MAC�、目的IP、目的端口�����、出口網(wǎng)口信息及TCP序列號(hào)進(jìn)行修改�����,并進(jìn)行IP頭部��、TCP頭部進(jìn)行校驗(yàn)計(jì)算��,最終直接發(fā)送至客戶端�����。
【專利摘要】本發(fā)明公開了一種WEB防火墻的局部代理方法�,客戶端與WEB防火墻的代理引擎建立第一次連接���,所述WEB防火墻的代理引擎與服務(wù)器端建立第二次連接����,所述WEB防火墻的代理引擎將兩次連接的四元組信息發(fā)送到WEB防火墻的協(xié)議棧;所述WEB防火墻的協(xié)議棧對(duì)接收到第一連接的請(qǐng)求數(shù)據(jù)包進(jìn)行記錄��、代理引擎進(jìn)行規(guī)則檢測(cè)���,當(dāng)所述請(qǐng)求數(shù)據(jù)包為非攻擊包���,則web引擎與服務(wù)器端建立連接,進(jìn)行數(shù)據(jù)包發(fā)送�����;所述WEB防火墻的協(xié)議棧確定服務(wù)器端回傳的數(shù)據(jù)包為第二次連接的回應(yīng)數(shù)據(jù)包后�����,對(duì)所述回應(yīng)數(shù)據(jù)包進(jìn)行修改校驗(yàn)后直接發(fā)送到客戶端���。本發(fā)明能夠有效提高大并發(fā)訪問下代理引擎的性能��,有效降低代理引擎的負(fù)載��。
【IPC分類】H04L29/06
【公開號(hào)】CN104994084
【申請(qǐng)?zhí)枴緾N201510347588
【發(fā)明人】焦小濤, 陳曉兵, 何建鋒, 陳宏偉
【申請(qǐng)人】西安交大捷普網(wǎng)絡(luò)科技有限公司
【公開日】2015年10月21日
【申請(qǐng)日】2015年6月23日